דו״ח סייבר שבועי
עדכון שבועי 18.02.2021
עיקרי הדברים
-
מערך המים הישראלי אינו ערוך למתקפת סייבר.
-
צפון קוריאה ניסתה לפרוץ לרשתות חברת Pfizer להשיג מידע על חיסון הקורונה.
-
חברת Kia Motors America נפלה קורבן למתקפת הכופר DoppelPaymer. ההאקרים דורשים 20 מיליון דולר.
-
ארה״ב: כתבי אישום נגד שלושה האקרים מצפון קוריאה המואשמים במתקפות Sony Pictures, SWIFT ו-WannaCry. גגבו למעלה מ 1.2 מיליארד דולר
-
אנו ממליצים לעדכן את המערכות הבאות: SAP (קריטי), VMware-vSphere Replication (גבוה), Google Chrome for Desktop (גבוה), (גבוה) BIG-IP של F5
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
VMware מפרסמת עדכון אבטחה ל-vSphere Replication
Google מפרסמת עדכון ל-Chrome for Desktop
SAP מפרסמת את עדכון האבטחה החודשי
13 חולשות במוצר ההגנה BIG-IP של F5
התקפות ואיומים
חברת הפסיכותרפיה Vastaamo הגישה בקשה לפשיטת רגל בעקבות פריצה
התגלו רוגלות למכשירי אנדרואיד שמקורן בקבוצת APT הודית
עשרה עצורים בחשד לגניבת מטבעות קריפטו בעזרת SIM swap
עובד IT בכיר ב-Yandex הביא לחשיפת מידע אישי של לקוחות החברה
השבוע בכופרה
מחירים מגוחכים בעבור גישה לרשתות ארגונים שונים ברחבי העולם
נעצרו חברים בקבוצת התקיפה המפעילה את כופרה Egregor
צפון קוריאה ניסתה לפרוץ לרשתות חברת Pfizer כדי להשיג מידע על חיסון הקורונה
קמפיין תקיפה צפון קוריאני מאיים על תעשיית הקריפטו
סייבר בישראל
Kia Motors America נפלה קורבן למתקפת הכופר DoppelPaymer
קנדה: חברה מובילה להשכרת רכבים נפגעה מהכופרה DarkSide
סייבר בעולם
מערך המים הישראלי אינו ערוך למתקפת סייבר
הוגש כתב אישום כנגד תושב נתניה בגין סחר בסמים ובכופרות בטלגרם
סייבר ופרטיות - רגולציה ותקינה
ארה״ב: כתבי אישום נגד שלושה האקרים מקוריאה הצפונית המואשמים במתקפות Sony Pictures, SWIFT ו-WannaCry
מסתמן: נציבות האיחוד האירופי תעניק לבריטניה "החלטת הלימות" תחת ה-GDPR
מינהל הסייבר של סין מטיל הגבלות על בלוגרים: הנחיות חדשות בנוגע לנושאים מותרים ואסורים
ברזיל: פריצה למידע אישי של יותר מ-220 מיליון איש ו-40 מיליון חברות
NIST: הנחיות להגנת סייבר של מערכות PNT
כנסים
הציטוט השבועי
״כולם עושים טעויות, אנחנו מחכים לשלכם."
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
VMware מפרסמת עדכון אבטחה ל-vSphere Replication
העדכון נותן מענה לחולשה (CVE-2021-21976, CVSS 7.2) אשר התגלתה בגרסאות 6.5, 8.1 ,8.2 ו-8.3 של המוצר. ניצול מוצלח של חולשה זו עלול להוביל להרצת קוד מרחוק על ידי משתמש בעל הרשאות אדמין.
אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם לגרסתם האחרונה בהקדם.
Google מפרסמת עדכון ל-Chrome for Desktop
העדכון האחרון, 88.0.4324.182, רלוונטי לכלל מערכות ההפעלה, והוא נותן מענה ל-10 חולשות אבטחה, 8 מתוכן בדרגת חומרה גבוהה. ניצול מוצלח של חולשות אלה עלול להוביל להשתלטות מרוחקת של תוקף על מחשב הקורבן.
אנו ממליצים לבעלי המוצר לעדכנו בהקדם לגרסתו האחרונה.
SAP מפרסמת את עדכון האבטחה החודשי
העדכון הנוכחי כולל מענה ל 7 חולשות אבטחה ו-6 עדכונים לחולשות אבטחה שפורסמו בעבר. מבין הפגיעויות הנסגרות בעדכון מצויות שלוש בעלות ציון CVSS הגבוה 9.0, אחת מהן קיבלה את הציון 10.0. הפגיעויות החמורות רלוונטיות למוצרים הבאים:
SAP Business Client
(SAP Commerce (CVE-2021-21477
(SAP Business Warehouse (CVE-2021-21465, CVE-2021-21468
ניצול חולשות אלה עלול להוביל להרצת קוד מרחוק, למתקפת מניעת שירות, למימוש מתקפות מסוג XSS ו-Spoofing ועוד.
אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם לגרסתם האחרונה בהקדם.
13 חולשות במוצר ההגנה BIG-IP של F5
שתי החמורות שבהן (CVE-2021-22984, CVSS 7.5 ו-CVE-2021-22976) מאפשרות לתוקף לבצע פעולות שיובילו ל-XSS או לביצוע DOS באמצעות ניצול חולשה ב-WebSocket, שתגרום לעליה במשאבי העיבוד במערכת.
אנו ממליצים לעקוב אחר העדכונים הרלוונטים המוצעים על ידי היצרן.
התקפות ואיומים
חברת הפסיכותרפיה Vastaamo הגישה בקשה לפשיטת רגל בעקבות פריצה
בפריצה לרשת החברה הפינית הורד מאגר שהכיל מידע רגיש אודות לקוחותיה. בעקבות הדליפה נסחטה Vastaamo על ידי התוקפים, שאיימו כי אם לא יועברו לידיהם כספי הכופר המבוקשים, המידע הרגיש יופץ בפומבי. המכה הקשה שספגה החברה גרמה להגשת בקשה לפשיטת רגל, כך פורסם ב-11 בפברואר, ולמכירת כל פעילותה העסקית לחברת Verve, שם יוכלו לקוחותיה להמשיך ולקבל שירות.
התגלו רוגלות למכשירי אנדרואיד שמקורן בקבוצת APT הודית
הרוגלות, המכונות Hornbill ו-SunBird, זוהו על ידי חברת אבטחת המידע Lookout. קורבנות התקיפה של הקבוצה ההודית היו בעיקר אנשי מפתח בצבא הפקיסטני ובתעשיות ורשויות העוסקות בנשק גרעיני, וכן בכירים הודים הקשורים לבחירות בחבל קשמיר. שתי הרוגלות הן בעלות יכולות גבוהות של הדלפת SMSים, תוכן מוצפן של אפליקציות, מיקום גיאוגרפי ועוד.
עשרה עצורים בחשד לגניבת מטבעות קריפטו בעזרת SIM swap
בין העצורים שמונה אזרחים בריטיים בגילי 18-26, אשר נימנו על קבוצת תקיפה שטירגטה אלפי ידוענים בעולם הקריפטו וגנבה מהם יותר מ-100 מיליון דולר במטבעות קריפטוגרפיים. במתקפות מסוג SIM swap, התוקף מקבל שליטה מלאה על התקשורת הסלולרית המקושרת למספר הטלפון של הנתקף, ובכך מתבטל כלא היה כל אמצעי זיהוי המבוסס על SMS או על שיחת טלפון. העצורים צפויים להישפט בקרוב.
אנו חוזרים וממליצים בכל לשון שלא לקשר חשבונות מקוונים רגישים עם מספר הטלפון הנייד אלא להשתמש בשיטות בטוחות יותר להזדהות כפולה, כמו אפליקציה ייעודית או רכיב פיזי.
עובד IT בכיר ב-Yandex הביא לחשיפת מידע אישי של לקוחות החברה
החברה, מספקיות האינטרנט הגדולות באירופה ובעלת כלי החיפוש הגדול ברוסיה, דיווחה על דליפת המידע שהתגלתה בבדיקה שגרתית של צוות האבטחה של הארגון. על פי הממצאים, אחד מעובדי ה-IT של החברה סיפק גישה לכ-5000 תיבות מייל לקוחות החברה, בעבור טובות אישיות. Yandex דיווחה על התקרית לבעלי התיבות שתוכנן הודלף והבטיחה להם כי לא נחשפו מספרי כרטיסי אשראי או פרטי תשלום אחרים השייכים להם. במקביל אופסו הסיסמאות של תיבות המייל הרלוונטיות.
השבוע בכופרה
Kia Motors America נפלה קורבן למתקפת הכופר DoppelPaymer
החל מה-13 בפברואר חווה החברה הפרעות שירות בשרתיה, בקו הטלפוני לביצוע תשלומים, בפלטפורמות ההפצה ובמערך התמיכה הטלפונית. ב-17 בפברואר הגיע לידי צוות החוקרים של אתר חדשות האבטחה והטכנולוגיה BleepingComputer מכתב כופר של קבוצת תקיפה, אשר מופנה אל חברת Hyundai Motors (חברת האם של KIA), בו מופיעה דרישה לתשלום בסך 405 ביטקוין (20 מיליון דולר), והצהרה כי אם לא ישולם תוך 21 יום - יעלה סכום הכופר ל-30 מיליון דולרים. מ-Kia נמסר ל-BleepingComputer כי כרגע אין ראיות למתקפת כופרה על החברה.
קנדה: חברה מובילה להשכרת רכבים נפגעה מהכופרה DarkSide
על פי הדיווחים, התוקפים הצליחו לגנוב מחברת ההשכרות Discount Car and Truck Rentals כ-120GB של מידע, אשר לדברי מפעילי הכופרה מכילים בעיקר מידע פיננסי. ההתקפה גרמה להשבתת אתר החברה ולשלל בעיות טכניות נוספות, שהובילו להשבתת שירותיה. הודות לפעולתו המהירה של הארגון, עלה בידיו לבודד את הכופרה ככל האפשר.
סייבר בישראל
מערך המים הישראלי אינו ערוך למתקפת סייבר
הדבר התברר בדיון חירום שנערך בתחילת השבוע בלשכת שר האנרגיה והמים יובל שטייניץ. בימים אלה נערכת ישראל למתקפת סייבר נרחבת מצד איראן, כשאחד החששות הכבדים הוא מפני ניסיון להרעלת מי השתייה בישראל, בדומה לניסיון ההרעלה שבוצע בפלורידה בשבוע שעבר.
הוגש כתב אישום כנגד תושב נתניה בגין סחר בסמים ובכופרות בטלגרם
הנאשם, מיכאל זייצב, חשוד כי בשתי הזדמנויות שונות מכר כופרות דרך הפלטפורמה החברתית תמורת 500 דולר לעסקה. הוא נעצר בעקבות פעילות של יחידת הסייבר בלהב 433, במסגרתה שוטר סמוי ניהל בטלגרם קשרים עם סוחרים בכופרות ובתוכנות לא-חוקיות.
סייבר בעולם
מחירים מגוחכים בעבור גישה לרשתות ארגונים שונים ברחבי העולם
מגזין אבטחת המידע BleepingComputer חושף מידע שנאסף על ידי חברת המודיעין Kela משלושה פורומים מרכזיים בדארקנט, אודות התעריפים הנדרשים עבור גישה לרשתות ארגוניות ברחבי העולם. הממצא המפתיע ביותר שנחשף הוא שחלק מהצעות המחיר נמוכות מאוד, חלקן עומדות על 1500 דולר בלבד, בעוד שאחרות עשויות להאמיר לסכומים של כ-100 אלף דולר. עוד חשפה Kela כי עיקר וקטורי הגישה לרשתות הארגון מוצעים באמצעות חיבורי RDP, חולשות במוצרי Citrix וחולשות ברשתות הארגונים המאפשרות הרצת קוד מרחוק.
נעצרו חברים בקבוצת התקיפה המפעילה את כופרה Egregor
במבצע משותף של רשויות החוק בצרפת ובאוקראינה נעצרו החשודים באוקראינה ב-9 בפברואר, זאת לאחר שהצרפתים הצליחו לעקוב אחר תשלומים שבוצעו למפעילי הכופרה. במהלך השנה האחרונה תקפו מפעילי Egregor מספר רב של ארגונים בצרפת, בהם Ubisoft, Quest France ולאחרונה גם Gefko.
צפון קוריאה ניסתה לפרוץ לרשתות חברת Pfizer כדי להשיג מידע על חיסון הקורונה
על פי דיווח שהתקבל בסוכנות הידיעות רויטרס, ניסיון הפריצה לאחת מהיצרניות המובילות של החיסון לנגיף ה-COVID-19 נעשה במטרה לגנוב מידע אודות שיטות טיפול במחלה ומרכיבי החיסון של Pfizer. מומחים טוענים כי קוריאה הצפונית לא תכננה להשתמש במידע לייצור חיסון משל עצמה, אלא על מנת למכור אותו לכל המרבה במחיר. בשנה שעברה התרחשו 9 פריצות לחברות בריאות ופארמה, בהן Johnson & Johnson, Novavax ואחרות.
קמפיין תקיפה צפון קוריאני מאיים על תעשיית הקריפטו
ה-FBI, ה-CISA ומשרד האוצר האמריקאי פרסמו הצהרה משותפת המזהירה מפני הקמפיין המכונה AppleJeus, שמטרתו גניבת מטבעות קריפטוגרפיים. מאחורי הקמפיין עומדת, ככל הנראה, קבוצת התקיפה HIDDEN COBRA. הצהרה זו באה לאחר פרסום כתב אישום שהוגש בבית המשפט האמריקאי (ראו להלן ״סייבר ופרטיות״ בהמשך הדוח) כנגד שלושה חשודים צפון קוריאניים, החשודים בניסיון גניבה של 1.2 מיליארד דולר מבנקים ומקורבנות ברחבי העולם ובמעורבות במתקפות הענק WannaCry והפריצה לרשתותיה של Sony, שאירעו בעשור האחרון.
אנו ממליצים להזין את כלל מזהי התקיפה במערכות ההגנה שלכם. לעסקים מתחום הקריפטו, אנו ממליצים על הטמעת בקרות פרואקטיביות, כמפורט כאן.
סייבר ופרטיות - רגולציה ותקינה
ארה״ב: כתבי אישום נגד שלושה האקרים מקוריאה הצפונית המואשמים במתקפות Sony Pictures, SWIFT ו-WannaCry
ב-21 בפברואר פרסם משרד המשפטים האמריקאי את כתבי האישום נגד Kim Il ,Jon Chang Hyok ו-Park Jin Hyok הנאשמים בפריצות סייבר רבות ומגוונות, במהלכן ניסו לגנוב יותר מ-1.2 מיליארד דולר. השלושה פעלו במסגרת ה-(Reconnaissance General Bureau (RGB, סוכנות ביון צבאית צפון קוריאנית העוסקת בפשע מקוון. לפי ההסברים המלווים את הפרסום, הפעולות נעשו בניסיון לעקוף את הסנקציות הבינלאומיות המוטלות על קוריאה הצפונית. טרייסי ווילסון, פרקליטה ממחוז מרכז קליפורניה שעבדה על כתבי האישום, אמרה כי "היקף ההתנהלות הפלילית של ההאקרים הצפון קוריאניים היה נרחב וארוך-שנים, ומגוון הפשעים שביצעו הוא מזעזע. ההתנהלות הפלילית המפורטת בכתבי האישום מעידה על מעשיה של מדינה שלא בחלה בשום אמצעי על מנת לנקום ולהשיג כספים לשם תמיכה במשטרה".
מסתמן: נציבות האיחוד האירופי תעניק לבריטניה "החלטת הלימות" תחת ה-GDPR
עזיבתה של בריטניה את האיחוד האירופי עוררה שאלות רבות בנוגע להמשך הקשר הרגולטורי בין שני הצדדים. בתחום ההגנה על מידע אישי מסתמנת התפתחות, לפיה תוענק לבריטניה "החלטת הלימות" (Adequacy Decision) תחת סעיף 45 של ה-GDPR, כמו זו אשר התקבלה במקרה של מדינת ישראל. החלטת ההלימות המוצעת מאפשרת העברת מידע אישי לאותה המדינה, במקרה זה בריטניה, תוך הכרה בכך שרמת ההגנות על מידע אישי והזכויות המוענקות לנושאי מידע עונות על דרישות ה-GDPR. יצוין כי בבריטניה קיימת חקיקה מ-2018, ה-Data Protection Act, אשר מיישמת את תקנות ה-GDPR בשינויים מסוימים. החלטת הנציבות, שאמורה להיכנס לתוקף בקרוב, תיבחן פעם בארבע שנים.
מינהל הסייבר של סין מטיל הגבלות על בלוגרים: הנחיות חדשות בנוגע לנושאים מותרים ואסורים
על פי הנחיה חדשה, שהופצה ב-22 בינואר על ידי הרגולטור הסיני העיקרי של הפעילות במרחב, בלוגרים וגורמים אחרים המפרסמים דעות באינטרנט יידרשו מעתה להצטייד באישור ממשלתי לצורך פרסום נושאים מסוימים. דרישת האישור החדשה, שתיכנס לתוקף החל מהשבוע הבא, עלולה להגביל פרסום של תוכן מקורי מצד רבים המנצלים כעת פלטפורמות אלקטרוניות כמו WeChat ו-Toutiao להפצת עמדותיהם. ההנחיה מעלה את החשש שרק חשבונות מדיה המשקפים דעות שאינן מנוגדות לעמדות ממשלתיות יקבלו אישור להתפרסם, והיא מרחיבה הגבלות אחרות על חופש הביטוי שכבר חלות במדינה.
ברזיל: פריצה למידע אישי של יותר מ-220 מיליון איש ו-40 מיליון חברות
דלף המידע האישי העצום, שהתרחש במהלך ינואר 2020, הוא האירוע הגדול מסוגו שחוותה המדינה. בפריצה נחשפו שמות, מספרי תעודות זהות, תאריכי לידה, כתובות, נתוני אשראי, מידע פיננסי, מידע מרשת ה״לינקדאין״ ומידע אחר הנוגע לכמעט כל אזרח במדינה. הפריצה מהווה הפרה חמורה של חוק הגנת המידע החדש של ברזיל, ה-LGPD. נכון לכתיבת שורות אלה, אין עדיין ייחוס של הפריצה. גרסה מקוצרת של מאגרי הנתונים שדלפו זמין לציבור ללא עלות בפורום בדארקנט, לצד כמות גדולה יותר של חומרים המוצעים למכירה.
NIST: הנחיות להגנת סייבר של מערכות PNT
הנחיות הסייבר שפרסם השבוע המכון הלאומי לתקנים וטכנולוגיה של ארה״ב נוגעות לשירותי מערכות מיצוב, ניווט ותזמון (PNT). ההנחיות מתבססות על ה-Executive Order 13905 מחודש פברואר 2020, צו נשיאותי העוסק בחיזוק הגנת הסייבר במערכות PNT של הממשל הפדרלי. תלותן של מערכות דיגיטליות רבות בשירותי PNT מחייבת ניהול של סיכוני הסייבר הכרוכים בשימוש בהן. ההנחיות החדשות ממליצות על בניית "פרופיל PNT" על סמך שימושי הארגון במערכות אלה וצרכי הגנת הסייבר שלו. המודל שמציע ה-NIST מתואר בתרשים להלן.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.